Scopri Monokle, una famiglia di malware Android in grado di rubare e modificare le password
Special Technology Center (STC) è una società di sviluppo software con sede a San Pietroburgo, in Russia, e il governo americano non ne è stato particolarmente soddisfatto. Nel 2016, Barack Obama ha imposto sanzioni a STC perché la sua amministrazione riteneva che fosse una delle tre società che hanno aiutato il governo russo a interferire con le elezioni presidenziali del 2016 negli Stati Uniti. Si ritiene che alcuni esperti di talento e sofisticati lavorino per STC e che i ricercatori della società di sicurezza Lookout sembrano convinti che gli stessi esperti siano responsabili della creazione di un ceppo precedentemente non documentato di malware Android chiamato Monokle.
Table of Contents
Monokle e la connessione STC
Come scopriremo tra un minuto, Monokle è un software di sorveglianza mobile estremamente sofisticato e versatile, e poiché tali app dannose sono solitamente sviluppate da persone che sanno cosa stanno facendo, spesso attribuendole a un gruppo specifico di hacker è quasi impossibile. Gli esperti di Lookout ritengono, tuttavia, che vi siano molte prove che collegano Monokle a STC.
Secondo il rapporto tecnico di Lookout , STC è impegnata nello sviluppo, tra le altre cose, di una suite di prodotti difensivi per dispositivi Android che si presume sia venduta esclusivamente alle agenzie governative russe. La società ha anche un applicazione del pannello di controllo chiamata App Control attraverso la quale vengono gestiti i restanti servizi di STC. Quando gli esperti di Lookout lo hanno esaminato, hanno visto che App Control sta cercando di capire se Monokle è installato sul dispositivo.
Inoltre, uno dei prodotti più noti di STC è un app antivirus Android chiamata Defender. Dopo aver esaminato attentamente infrastruttura di comando e controllo di Monokle (C&C), il team di Lookout si è reso conto che parte di essa si sovrappone ai server back-end utilizzati da Defender. Per finire, erano certificati condivisi anche tra i prodotti di sicurezza STC e Monokle.
Se i ricercatori di Lookout hanno ragione e Monokle è stato effettivamente creato da STC, gli sviluppatori non hanno fatto troppi sforzi per nascondere le loro tracce, il che è strano considerando il livello di sofisticazione dimostrato dal malware.
La versatilità di Monokle è la sua caratteristica distintiva
Monokle può, tra le altre cose, registrare sequenze di tasti, eliminare e scaricare file, inviare messaggi, esfiltrare contatti, informazioni sul dispositivo, e-mail, dati di accesso, elenchi di app installate e cronologie di chiamate e navigazione. Può anche scattare foto, video e schermate e, se ha accesso come root, può eseguire comandi.
Tutto questo è piuttosto standard per questo tipo di malware. Tuttavia, Monokle ha qualche altro asso nella manica che lo distingue dalla massa. Utilizza i servizi di accessibilità di Android per acquisire ed esfiltrare informazioni da file di Microsoft Office e Google Docs, nonché applicazioni di messaggistica istantanea come Whatsapp, Viber, Snapchat, ecc. Può effettuare registrazioni dello schermo anche quando il dispositivo è ancora bloccato, il che significa che può acquisire la password, il codice PIN o la sequenza utilizzata per sbloccare il dispositivo. Una volta catturato il segreto, può cambiarlo e bloccare le persone dai loro telefoni o tablet.
Forse la funzionalità più avanzata, tuttavia, è la possibilità di installare certificati attendibili su dispositivi compromessi. Grazie ad esso, è possibile un attacco Man-in-The-Middle contro il traffico TLS .
Tutto sommato, Monokle non è qualcosa che vuoi avere sul tuo dispositivo Android. La buona notizia è che è improbabile che la maggior parte di voi la incontri.
Monokle è mirato a obiettivi specifici
Il primo esempio di Lookout esaminato risale al 2015, ma Monokle è ancora utilizzato negli attacchi fino ad oggi. Come con la maggior parte delle famiglie di malware Android, il vettore di infezione principale si presenta sotto forma di app trojanizzate distribuite su app store di terze parti. La maggior parte di essi impersonano applicazioni reali e alcuni addirittura dispongono di funzionalità legittime, il che può rendere più difficile il rilevamento.
Sulla base dei titoli e delle icone delle app dannose, gli esperti hanno concluso che Monokle viene utilizzato in attacchi altamente mirati contro specifici gruppi di utenti. Alcune applicazioni sono state chiaramente progettate per attirare attenzione delle persone associate al gruppo militante di Ahrar al-Sham in Siria. Altri erano rivolti a utenti situati nel ex repubblica sovietica del Uzbekistan, e un terzo gruppo si rivolgeva a persone situate nella regione del Caucaso del Europa orientale.
Se ciò che dicono gli esperti di Lookout è vero, Monokle è molto probabilmente usato da agenzie governative russe che stanno cercando di spiare determinate persone. Se il tuo nome non è presente in alcuni elenchi molto specifici, probabilmente non sarai interessato da Monokle. Ovviamente, ciò non significa che il malware debba essere sottovalutato.
